VỮNG MÃI MỘT NIỀM TIN

Tấn công qua Zoom và GitHub: Cảnh báo chiến dịch mã độc GhostCall – GhostHire đang lan rộng

  • 04/11/2025

Các chuyên gia an ninh mạng vừa phát hiện hai chiến dịch tấn công tinh vi đang nhắm vào cộng đồng Web3 và blockchain toàn cầu – mang tên GhostCallGhostHire. Hai chiến dịch này được xác định thuộc nhóm tin tặc khét tiếng BlueNoroff, một nhánh của Lazarus Group, đã hoạt động từ năm 2017 trong chiến dịch SnatchCrypto.
Mục tiêu của chúng là các công ty công nghệ, quỹ đầu tư và lập trình viên Web3 tại nhiều quốc gia như Nhật Bản, Úc, Ấn Độ, Pháp, Singapore, Thổ Nhĩ Kỳ và Hồng Kông.


 

Hai chiến thuật tấn công khác nhau, cùng một mục tiêu

  • GhostCall nhắm vào lãnh đạo và nhân viên của các tổ chức công nghệ, mời họ tham gia “cuộc họp đầu tư” qua Zoom hoặc Microsoft Teams. Nạn nhân được dẫn tới trang web giả, xem video giả lập cuộc gọi, rồi bị yêu cầu “cập nhật SDK”. Khi đồng ý, mã độc AppleScript (trên macOS) hoặc PowerShell (trên Windows) sẽ được tải xuống và chiếm quyền thiết bị.

  • GhostHire lại đánh vào tâm lý nghề nghiệp của các lập trình viên Web3, mời họ ứng tuyển công việc qua Telegram, sau đó gửi “bài test kỹ năng” kèm file ZIP chứa mã độc. Khi mở file, hệ thống sẽ tự động tải các script độc hại từ GitHub giả mạo để chiếm quyền kiểm soát máy tính.

Hậu quả nghiêm trọng cho doanh nghiệp và cá nhân

Sau khi xâm nhập thành công, mã độc có thể:

  • Truy cập dữ liệu nhạy cảm, ví tiền điện tử và tài khoản cloud.

  • Đánh cắp API, mật khẩu trình duyệt và thông tin đăng nhập hệ thống.

  • Gây rò rỉ dự án, mất tài sản số, hoặc ảnh hưởng uy tín doanh nghiệp.

Các cuộc tấn công này đặc biệt nguy hiểm vì:

  • Diễn ra đa nền tảng (Windows, macOS, Linux)

  • Kết hợp lừa đảo xã hộimã độc tùy biến

  • Sử dụng nền tảng hợp pháp như Zoom, Teams, GitHub, Telegram để phát tán mã độc

  • Một số chiến dịch thậm chí đã ứng dụng AI (như GPT-4o) để tạo hồ sơ, tin nhắn và video giả mạo cực kỳ thuyết phục.

Khuyến nghị từ chuyên gia DTG CORP

Để phòng tránh các cuộc tấn công tương tự, doanh nghiệp cần:

  • Xác thực kỹ nguồn liên lạc trên Telegram, Zoom, GitHub trước khi tải hoặc mở bất kỳ tệp nào.

  • Giới hạn quyền truy cập của nhân viên và AI agent vào dữ liệu nhạy cảm.

  • Triển khai hệ thống giám sát Endpoint (EDR) để phát hiện hành vi bất thường.

  • Đào tạo nhân viên về các hình thức tấn công xã hội và mã độc giả dạng nhà tuyển dụng hoặc nhà đầu tư.

Hiện chưa có báo cáo cho thấy GhostCall và GhostHire ảnh hưởng đến người dùng tại Việt Nam, nhưng với việc Telegram, Zoom, Teams và GitHub được sử dụng phổ biến, nguy cơ lan rộng là có thật.
Các doanh nghiệp hoạt động trong lĩnh vực Web3, fintech và công nghệ nên chủ động kiểm tra hệ thống, cập nhật công cụ bảo mật, và nâng cao cảnh giác trước mọi lời mời hoặc tệp tin bất ngờ.

(Theo WhiteHat)

Tin tức

Tuyển dụng

Đối tác

Facebook

DTG CORP

Trụ sở chính
Địa chỉ: 41 Trần Khắc Chân, Phường Cầu Kiệu, Thành phố Hồ Chí Minh, Việt Nam
Tòa nhà DTG
Địa chỉ: 272-274 Hòa Hưng, Phường Hòa Hưng, Thành phố Hồ Chí Minh, Việt Nam
Điện thoại: (028) 3865 9999
Fax: (028) 3868 3639
Mail: info@dtgcorp.com.vn
Văn phòng Hà Nội
Địa chỉ: 25 Nguyễn Quốc Trị, Phường Yên Hòa, Thành phố Hà Nội, Việt Nam
Tel: 0916868989
Văn phòng Hải Phòng
Địa chỉ: Tầng 3, BH01-56, KĐT Vinhomes Imperia,
Đường Bạch Đằng, Phường Hồng Bàng, Thành phố Hải Phòng, Việt Nam
Điện thoại: 0912193833